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(57) Abstract: The inventive method for controlling by a processor the access to peripherals thereof consists in triggering (E34) the 
processor breaker called a control breaker, in obtaining (E37) an authorisation code for accessing to the peripherals from the proces- 
^| sor consecutively to said triggering, in comparing (E38) the access authorisation code (Code-AA) with a predetermined reference 
^ value (Code-UMCA) and in generating (E50) an electric signal for validating an access signal to the peripherals according to said 
\^ comparison stage (E30). 
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(57) Abrege : Ce procede pour controler l'acces, par un processeur a un peripherique de ce processeur, comporte les etapes suivantes 
- declenchement (E34) d'une interruption du processeur, dite interruption de controle; - obtention (E37), en provenance du proces- 
seur et consecutivement a ce declenchement, d'un code d'autorisation d'acces (Code-AA) au peripherique; - comparaison (E38) du 
code d'autorisation d'acces (Code-AA) avec une valeur de reference predeterminee (Code-UMCA); - generation (E50) d'un signal 
electrique de validation d'un signal d'acces a ce peripherique, en fonction du resultat de ladite etape de comparaison (E30). 
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« Procede et dispositif pour controler Pacces a un peripherique ». 
Arriere-plan de rinvention 

La presente invention se situe dsns le domaine de la securisation des 
appareils electroniques, et plus precisement dans celui de la protection de ces 
appareils contre des manipulations fraud uleuses et des attaques a leur integrite. 

On connaTt principalement deux types d'attaque, a savoir les attaques de 
type logiciel d'une part et celles par ajout ou substitution de composants 
rnateriels d'autre part. 

Pour parer aux attaques logicielles, on connaTt des outils dits de haut 
niveau, c'est-a-dire operant au-dessus des couches du systeme d'exploitation 
(antivirus, pare-feu, etc.). 

Malheureusement, ces outils meme performants, presentent une fragilite 
importante dans le sens ou ils peuvent etre desactives ou contournes avant 
meme leur chargement en memoire. 

Un consortium nomme « Trusted Computing Group » (TCG) vise a palier 
cet inconvenient en fournissant des outils et des methodes de protection des 
couches logicielles basses, ainsi qu'une indentification des peripheriques 
physiques. 

TCG propose en particulier une rnethode de verification de Pauthenticite 
du BIOS (Basic Input Output System) d J un ordinateur personnel avant son 
lancement. 

Une telle rnethode utilise a cette fin un code de confiance CRTM (Core 
Root of Trust Measurement en anglais), ce code CRTM etant execute a la mise 
sous tension de Pordinateur pour calculer une signature du BIOS. 

Ce code de confiance CRTM constitue ainsi la base de toute la chaine de 
securite logicielle dans Pequipement, et doit done etre protege lui aussi contre 
les attaques. 

Afin d'assurer la protection de ce code CRTM, il est traditionnellement 
prevu d'implementer celui-ci dans un secteur specifique d'une memoire de type 
flash installee sur la carte mere de Pequipement. 

L'inconvenient d'une telle solution est que la modification de ce code de 
confiance CRTM, pour une mise a jour par exemple, est impossible sans 
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intervention physique sur la carte mere, comme le decrit le document IBM US 
2003/0135727 publie le 17 juillet 2003. 

Ce document propose une premiere solution a ce probleme consistant a 
implementer le code de confiance (CRTM) dans une carte accessoire a la carte 
mere (feature card en anglais), cette carte accessoire comportant son propre 
BIOS. Les mises a jour peuvent alors s'effectuer simplement par remplacement 
physique de cette carte accessoire. 

Si cette solution est acceptable dans le cadre des specifications elaborees 
par TCG, on comprend qu'elle ne Test plus du tout lorsque Ton veut etendre la 
protection des boot loader et des BIOS au second type d'attaques, les attaques 
materielles, du fait d'un utilisateur ou d'un tiers (console de jeux, code IMEI et 
SIM lock des GSM notamment). 

Cette solution presente en effet un inconvenient majeur pour ce cas de 
protection etendue, puisqu'il suffit de retirer cette carte accessoire pour 
desactiver I'ensemble des fonctions de securite de Pequipement. 

Le consortium TCG s'interesse aussi au probleme de Pintegrite materielle 
des ordinateurs (PC) en controlant les peripheriques utilises. Plus precisement, 
ce consortium specifie I'utilisation d'un module TPM qui enregistre les noms et 
emplacements des peripheriques d'un ordinateur, afin de generer une alarme si 
un peripherique, par exemple un disque dur, a ete remplace entre deux boot. II 
s'agit ici du controle de I'idehtite d J un peripherique. 

Dans le meme etat d'esprit et dans le contexte des consoles de jeux, le 
document WO 43716 (3DO) decrit une methode d'authentification d'un 
peripherique (une cassette de jeu), par un processeur (celui de la console) pour 
lutter contre la copie illicite de cassette. 

Le document 3DO propose d'integrer une clef secrete dans la cassette, 
qui sera verifiee par la console qui detient aussi cette clef. Pour eviter la 
substitution d'une cassette dument authentifiee par une cassette pirate, 3DO 
propose en outre I'utilisation d'un mecanisme d'echange de donnees de 
securisation, entre la cassette et la console tout au long du jeu. La console 
verifie ainsi qu'elle dialogue toujours avec la meme cassette. 

Cette solution necessite malheureusement, I'implantation et la 
dissimulation d'une clef secrete et d'un programme specifique avec un 
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algorithme secret de securisation dans le peripherique (la cassette). Cette 
contrainte est un frein au developpement de ce type de technologie. 
Obiet et resume de rinvention 

(.'invention permet de resoudre les inconvenients precites. 

A cet effet, la Demanderesse choisit une approche tres differente qui n'est 
base ni sur un mecanisme d'identification, ni sur un mecanisme 
d'authentification. 

Plus precisement, et selon un premier aspect, rinvention concerne une 
unite materielle pour controler 1'acces, par un processeur, a un peripherique de 
ce processeur, cette unite materielle comportant : 

- des moyens de declenchement d'une interruption du processeur, dite 
interruption de controle ; 

- des moyens d'obtention, en provenance de ce processeur et 
consecutivement a ce declenchement, d'un code d'autorisation d'acces au 
peripherique ; 

- des moyens de comparaison de ce code d'autorisation d'acces avec une 
valeur de reference predetermined ; et 

- des moyens dits de validation adaptes a generer un signal electrique de 
validation d'un signal electrique d'acces au peripherique, en fonction du resultat 
de ladite comparaison. 

Ainsi, le mecanisme selon rinvention repose sur remission, par le 
processeur, de codes d'autorisation d'acces, controles par une unite materielle, 
placee devant le peripherique, en coupure de bus. 

De fagon tres avantageuse, le code d'autorisation d'acces est regu par 
I'unite materielle de controle d'acces, apres que celle-ci ait fait une requete 
explicite au processeur pour I'obtention de ce code, sous la forme d'une 
interruption dirigee vers ce processeur. L'unite materielle sait ainsi de fagon 
certaine, que le code d'autorisation d'acces lui a ete fourni par le processeur. 

Cette caracteristique permet d'obtenir un controle d'acces au peripherique 
tres efficace car elle permet de s'assurer que le code d'autorisation d'acces est 
regu de fagon certaine en provenance d'un organe de confiance constitue par la 
routine d'interruption de controle. 
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Autrement dit, Pinvention repose sur Putilisation d'un composant logiciel, 
(programme informatique) qui constitue un point unique d'acces au peripherique, 
et qui controle en cooperation et via Punite materielle de controle d'acces, le 
signal electrique d'acces au peripherique. 

Ce composant logiciel est preferentiellement situe dans une zone sure et 
controlee du processeur. 

L'invention permet ainsi de controler Pacces au peripherique d'un 
processeur en validant au plus bas niveau, et de fagon materielle, le signal 
electrique d'acces a ce peripherique. Ce peripherique peut notamment etre 
choisi parmi un ecran, un clavier, une memoire, un controleur d'une interface de 
communication, une unite de gestion memoire (MMU) ou une unite de protection 
de memoire (MPU). 

Lorsque ('invention est utilisee pour controler Pacces en ecriture a la 
memoire flash comportant le code de demarrage (boot loader), elle permet la 
mise a jour de ce code de demarrage sans intervention physique, tout en 
protegeant ce code de manipulations frauduleuses. 

Dans la suite de ce document, nous appellerons "peripherique" tout type 
de composant electronique (ecran, clavier, memoire, interface de 
communication, interface de carte a puce, MMU, MPU, ...), que ceux-ci soient 
discrets ou "integres" dans des FPGA ou ASIC. 

De meme, nous appellerons "signal electrique d'acces" tout signal 
electrique devant etre active pour la selection (signal de type « ChipSelect », 
CS) du peripherique ou Pecriture (signal de type "WRITE-ENABLE", WE) sur ce 
peripherique. 

De meme nous appellerons « interruption », tout moyen adapte a derouter 
I'execution d'un logiciel, de fagon asynchrone ou non. 

Afin de renforcer considerablement la securite du systeme, ['interruption 
de controle est une interruption non masquable, ce qui signifie qu'il n'est pas 
possible de masquer le deroutement precite. 

L'homme du metier comprendra, qu'en fonction de Parchitecture choisie, 
differents types de signaux peuvent etre utilises a cet effet, et notamment : 

- le signal NMI pour ['architecture de la famille INTEL x86 ; 

- le niveau IPL<7> pour Parchitecture de la famille MOTOROLA 68K 
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- les cycles d'erreur d'adresse ou de data lies au signal /BERR sur 
I'architecture MC68K, 

- les 'ABORT exception' sur I'architecture ARM7TDMI. 
Conformement a la presente invention, un acces au peripherique ainsi 

protege n'est possible que sur presentation a I'unite materielle de controle 
d'acces audit peripherique d'un code d'autorisation d'acces compatible avec la 
valeur de reference predeterminee connue de cette unite materielle. 

L'invention permet ainsi notamment la protection d'une memoire dite 
securisee, du type par exemple de celle contenue dans un telephone mobile 
conforme a la norme GSM pour la memorisation des conditions commerciales 
souscrites par abonnement avec un operateur (SIM Lock). 

La substitution frauduleuse de ces regies SIM-Lock ne devient possible 
que sur presentation d'un code d'autorisation d'acces valide a I'unite materielle 
de controle de I'acces a cette memoire. 

L'invention permet aussi de mettre a jour le BIOS ou le systeme 
d'exploitation d'un appareil, a distance. On pourra done aisement mettre a jour 
les telephones portables, et ce, directement avec la liaison sans fil GSM, sans 
que le client ne se deplace vers un centre de mise a jour. 

L'invention peut ainsi etre utilisee pour empecher toute modification 
frauduleuse du BIOS d'un PC, ce qui augmente grandement la securite de ce 
PC, notamment quand le BIOS contient des mecanismes de securite. de plus • 
haut niveau. 

Preferentiellement, I'unite materielle de controle comporte en outre des 
moyens d'obtention d'un code de declenchement, et les moyens de 
declenchement de I'interruption de controle sont adaptes a declencher 
('interruption consecutivement a I'obtention du code de declenchement. 

Ce code de declenchement peut par exemple etre envoye par le 
processeur avant tout acces au peripherique. On met ainsi un mecanisme 
totalement boucle entre le processeur et I'unite materielle qui fait que I'unite 
materielle de controle d'acces sollicite systematiquement un code d'autorisation 
d'acces aupres du processeur avant de valider le signal d'acces. 

Preferentiellement, I'unite materielle de controle d'acces comporte des 
moyens de comparaison de ce code de declenchement avec la valeur de 
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reference predetermine, lesdits moyens de decienchement etant adaptes a 
declencher Interruption de controie en fonction du resultat de ladite 
comparaison. 

Ainsi, sur presentation d'un code de decienchement errone, un autre 
traitement peut etre mis en place, comme explicite ci-dessous. 

Ainsi, dans une variante de realisation, Punite materielle de controie 
d'acces selon Pinvention comporte des moyens de decienchement d'une 
interruption du processeur, dite interruption d'alarme, lorsque ledit code 
d'autorisation d'acces ou ledit code de decienchement est different de la valeur 
de reference predeterminee. Cette interruption d'aiarme est preferentiellement 
une interruption non masquable. 

Dans une premiere variante de realisation, la valeur de reference 
predeterminee est une constante. 

La routine d'interruption de controie peut ainsi autoriser Pacces au 
peripherique en envoyant simplement la constante a Punite materielle de 
controie. Cette variante est particulierement simple a mettre en oeuvre. 

Dans une deuxieme variante de realisation, Punite materielle de controie 
d'acces selon Pinvention comporte des moyens de generation de la valeur de 
reference precitee selon une loi predeterminee. 

Cette caracteristique permet avantageusement de renforcer le controie 
d'acces au peripherique car le pirate devrait au surplus connaTtre la loi 
predeterminee pour etre en mesure de presenter un code d'autorisation d'acces 
valide a Punite materielle de controie d'acces. 

Dans un mode prefere de cette deuxieme variante de realisation, la valeur 
de reference predeterminee est un compteur initialise a la mise sous tension de 
Punite materielle, et la loi predeterminee consiste a incrementer ce compteur a 
chaque obtention du code d'autorisation d'acces. 

La mise en oeuvre de cette loi predeterminee peut notamment etre 
realisee par un compteur associe a un automate d'etats finis, ce qui evite 
Putilisation plus onereuse d'un (co-)processeur, et limite le cout de fabrication de 
Punite materielle dans son ensemble. 
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Selon une autre caracteristique avantageuse, les moyens de validation de 
I'unite materielle de controle d'acces au peripherique comportent des moyens de 
combinaison logique adaptes a : 

- recevoir un signal electrique de demande d'acces a ce peripherique ; 

- recevoir le signal de validation; et 

- valider le signal electrique d'acces en fonction d'un etat du signal 
electrique de demande d'acces, d'un etat du signal de validation, et d'une 
logique representee dans une table de verite. 

Selon cette caracteristique, on valide ainsi Pacces au peripherique lorsque 
deux conditions sont reunies, a savoir d'une part la presence d'une demande 
d'acces au peripherique par un composant tiers, par exemple un processeur, et 
d ! autre part lorsque le resultat des comparaisons precitees est representatif de 
Pobtention d'un code d'autorisation d'acces valide par I'unite materielle du 
controle. 

Preferentiellement, le signal d'acces resulte de la combinaison "ET 
logique" entre le signal de demande d'acces et le signal de validation. Ce moyen 
de realisation est particulierement aise a mettre en oeuvre. 

Dans un mode prefere de realisation, I'unite materielle de controle d'acces 
selon I'invention, comporte des moyens de lecture d'un etat du signal electrique 
de demande d'acces, et des moyens de declenchement d'une interruption 
d'alarme, preferentiellement non masquable, en fonction de cet etat et de I'etat 
du signal electrique de validation d'acces. 

Cette caracteristique permet avantageusement de declencher cette 
interruption d'alarme, lorsque I'etat du signal electrique de demande d'acces est 
representatif d'une demande d'acces au peripherique, sans qu'un code 
d'autorisation d'acces n'ait ete presente a I'unite materielle de controle d'acces. 

Dans un mode prefere de realisation, I'unite materielle de controle d'acces 
selon I'invention comporte des moyens d'inhibition du signal de validation, cette 
inhibition etant preferentiellement effectuee consecutivement a un ou plusieurs 
acces au peripherique. 

Cette caracteristique permet avantageusement de renforcer le controle 
d'acces au peripherique, puisque celui-ci doit s'exercer regulierement, voire 
meme avant chaque acces au peripherique. 
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Dans un autre mode de realisation, ['inhibition du signal de validation est 
effectuee apres un delai predetermine compte a partir de la generation du signal 
electrique de validation d'acces, ou a partir de Pobtention du code d'acces. 

Cette caracteristique permet avantageusement d'autoriser I'acces au 
peripherique sans controle durant ce delai, ce qui ameliore les performances 
globales du systeme. Cette caracteristique est particulierement interessante 
lorsque le volume de donnees echangees avec ce peripherique est important 
comme dans le cas d'un ecran. 

Correlativement, invention vise un procede pour controler I'acces, par un 
processeur, a un peripherique de ce processeur. Ce procede comporte les 
etapes suivantes : 

- declenchement d'une interruption du processeur, dite interruption de 
controle, preferentiellement non masquable ; 

- obtention, en provenance du processeur et consecutivement audit 
declenchement, d'un code d'autorisation d'acces au peripherique ; 

- comparaison du code d'autorisation d'acces avec une valeur de 
reference predeterminee ; 

- generation d'un signal electrique de validation d'un signal d'acces au 
peripherique, en fonction du resultat de ladite etape de comparaison. 

Les avantages et caracteristiques particuliers de ce. procede de controle 
d'acces etant les memes que ceux decrits precederhment en; reference a I'unite 
materielle de controle, ils ne seront pas rappeles ici. Ce procede consiste 
essentiellement a verifier la validite d'un ou plusieurs code d'autorisation 
d'acces, necessairement re<?u en provenance d'un organe de confiance, en le 
comparant a des valeurs de reference predeterminees (constantes ou generees 
selon une loi), et a valider un signal electrique d'acces au peripherique en 
fonction de cette comparaison. 

Selon un autre aspect, ('invention concerne un processeur comportant une 
unite materielle de controle d'acces telle que decrite brievement ci-dessus. Ce 
processeur comporte aussi : 

- des moyens de mise en oeuvre d'une routine d'interruption de controle 
adaptee a obtenir le code d'autorisation d'acces ; et 
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- des moyens d'envoi de ce code d'autorisation d'acces a I'unite materielle 
de controle d'acces. 

Dans ce mode prefere de realisation de ['invention, I'unite materielle de 
controle d'acces decrite precedemment est embarquee au sein d'un processeur, 
ce processeur comportant des moyens d'envoi a I'unite materielle de controle, du 
code d'autorisation d'acces a un peripherique donne. 

Ce mode prefere de realisation de I'invention renforce considerablement 
le controle de I'acces a ce peripherique, car il devient alors impossible de 
contourner physiquement, ou autrement dit de shunter, I'unite materielle de 
controle d'acces. 

Preferentiellement, le processeur selon I'invention comporte le 
peripherique auquel il protege I'acces. 

Ce peripherique peut notamment etre une unite de gestion de memoire. 

L'invention peut proteger ainsi I'acces a I'unite de gestion de la memoire 
(MMU). Ceci permet de creer deux environnements systemes rigoureusement 
etanches sur un meme processeur. Si de plus, on assure un espace d'echanges 
de donnees controlees entre ces deux environnements, I'homme du metier 
comprendra que I'on peut aisement construire des appareils dont certaines 
fonctions (systeme d'exploitation ou applications sensibles de type paiement, 
authentification, protection des droits des auteurs et de la copie) sont isolees des 
applications plus ouvertes et done plus sensibles atix atta'ques (Browser Internet, 
chargement de jeux, de video, email etc.). 

Le peripherique contenu dans le processeur selon I'invention peut 
egalement etre un controleur d'ecriture dans la memoire d'amorcage du 
processeur. 

Ce mode prefere de realisation permet ainsi de securiser la memoire 
d'amorgage du processeur, cette protection rendant impossible la modification 
frauduleuse des donnees contenues dans cette memoire, zone dont la securite 
est tres critique en ce qu'elle heberge souvent des appels a des procedures de 
securisation de plus haut niveau. 

Correlativement, I'invention concerne un procede de gestion d'acces a un 
peripherique. Ce procede de gestion comporte une etape de mise en oeuvre 
d'une routine associee a une interruption de controle, preferentiellement non 
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masquable. Cette routine de contrdle comporte une etape d'envoi d'un code 
d'autorisation d'acces a une unite materielle de controle d'acces telle que decrite 
brievement ci-dessus. 

Dans une premiere variante de realisation, le code de controle d'acces est 
une constante, lue a partir d'une memoire protegee. 

Dans une deuxieme variante de realisation, le procede de gestion d'acces 
comporte en outre une etape de generation d'un code d'autorisation d'acces 
selon une loi predeterminee. 

L'homme du metier comprendra aisement qu'il est preferable, dans cette 
premiere variante de realisation, de masquer toutes les interruptions, sans quoi 
un acces illicite au peripherique pourrait etre effectue par une interruption mal 
intentionnee dans Pintervalle de temps compris entre la lecture de la constante 
dans la memoire protegee et le declenchement de la routine d'interruption non 
masquable de controle. 

Les avantages et caracteristiques particuliers de ce procede de gestion 
d'acces etant les memes que ceux decrits brievement ci-dessus en reference au 
processeur selon Tinvention, ils ne sont pas rappeles ici. Ce procede consiste 
essentiellement a fournir, en provenance d'un organe de confiance (a savoir le 
processeur mettant en oeuvre la routine d'interruption de controle) des codes 
d'autorisation d'acces, ces codes etant compares par I'unite materielle de 
controle avec des valeurs de reference predeterminees (constantes ou generees 
selon une loi) pour autoriser ou non I'acces au peripherique. 

Uinvention vise aussi un programme informatique comportant une 
instruction d'acces a un peripherique et une instruction d'envoi d'un code de 
declenchement a. une unite materielle de controle d'acces a ce peripherique telle 
que decrite brievement ci-dessus, prealablement a I'execution de cette 
instruction d'acces. 

Preferentiellement, ce programme informatique comporte en outre des 
moyens de generation du code de declenchement selon la loi predeterminee de 
generation du code d'autorisation d'acces. 

Ce programme informatique constitue un point unique d'acces au 
peripherique, preferentiellement situe dans une zone sure et controlee du 
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processeur. Ce programme controle, en cooperation avec Punite materielle, le 
signal electrique d'acces a ce peripherique. 

L'invention vise aussi un processeur adapte a mettre en oeuvre un 
procede de controle d'acces, un procede de gestion d'acces, et/ou un 
programme informatique tels que decrits brievement ci-dessus. 

Breve description des dessins 

D'autres aspects et avantages de la presente invention apparaTtront plus 
clairement a la lecture du mode particulier de realisation qui va suivre, cette 
description etant donnee uniquement a litre d'exemple non limitatif et faite en 
reference aux dessins annexes, sur lesquels : 

- la figure 1 represente un processeur conforme a ('invention dans un 
premier mode de realisation, 

- la figure 2 represente un processeur conforme a l'invention dans un 
deuxieme mode de realisation, 

- la figure 3 represente une unite materielle de controle d'acces conforme 
a ('invention dans un mode prefere de realisation, 

- les figures 4a et 4b represented sous forme d'automates, les principales 
etapes de procedes de controle d'acces conformes a ['invention, 

- la figure 5 represente sous forme d'organigramme, les principales 
etapes d'une routine d'interruption de . controle conforme a l'invention dans un 
mode prefere de realisation ; et 

- la figure 6 represente, sous forme d'organigramme, les principales 
etapes d'un programme accedant a un peripherique protege, conformement a la 
presente invention. 

Description deta.illee de plusieurs modes de realisation 

L'exemple de realisation de ('invention decrit ici concerne plus 
particulierement la protection de Pacces a une memoire d'amorgage contenue 
dans un processeur. 

La figure 1 represente un processeur 110 conforme a l'invention dans un 
mode prefere de realisation. 

Le processeur 110 comporte une memoire d'amorgage 120 (en anglais 
BOOT-ROM) et une memoire volatile RAM protegee. Cette memoire d'amorgage 
120 comporte une table de vecteurs d'interruption VECT, deux routines 
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d'interruption, respectivement de controle IRT1 et d'alarme IRT2, et un 
programme informatique PROG. 

Ce programme informatique PROG est un programme de controle d'un 
peripherique P interne au processeur, un tel programme etant habituellement 
connu sous le nom de pilote (en anglais : « driver »). 

Dans le mode prefere de realisation decrit ici, le peripherique P interne au 
processeur est un controleur d'ecriture pour la memoire d'amorgage 120 
precitee. 

Le processeur 110 comporte une unite materielle 20 de controle d'acces 
au peripherique P, conforme a la presente invention. 

Cette unite materielle de controle d'acces 20 comporte des moyens 
d'obtention d'un code Code-DD de declenchement et d'un code Code-AA 
d'autorisation d'acces au peripherique P. 

Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acces Code-AA sont obtenus dans un meme 
registre 21. 

Dans le mode prefere de realisation decrit ici : 

- le code Code-AA d'autorisation d'acces est ecrit dans le registre 21 par 
la routine d'interruption de controle IRT1 ; et 

- et le code de declenchement Code-DD est ecrit dans le registre 21 par le 
pilote PROG du peripherique P. 

En effet, conformement a I'invention, avant chaque instruction (WRITE, 
READ,...) d'acces au peripherique P, le programme informatique PROG ecrit un 
code de declenchement Code-DD dans le registre 21 de Punite materielle 20. 

Dans le mode de realisation decrit ici, le code de declenchement Code- 
DD et le code d'autorisation d'acces Code-AA sont deux valeurs successives 
d'une meme variable calculees selon la loi decrementation predeterminee. 

Cette variable est memorisee dans une zone protegee de la volatile RAM 
du processeur. Cette memoire n'est accessible qu'au programme informatique 
PROG et a la routine d'interruption de controle IRT1 . 

L'unite materielle de controle d'acces 20 comporte egalement des moyens 
24 adaptes a generer, selon une loi predeterminee, une valeur de reference 
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Code-UMCA lorsqu'un code d'autorisation Code-AA ou un code de 
declenchement Code-DD est ecrit dans le registre 21 . 

Dans le mode prefere de realisation decrit ici, cette loi consiste a 
incrementer le compteur Code-UMCA, celui-ci etant initialise a la mise sous 
tension du processeur 110. 

L'unite materielle de controle d'acces 20 comporte egalement des moyens 
22 de comparaison du code d'autorisation d'acces Code-AA (et du code de 
declenchement Code-DD) obtenu dans le registre 21 avec la valeur de reference 
predeterminee Code-UMCA, calculee par les moyens 24 de generation de cette 
valeur. 

Dans le mode prefere de realisation decrit ici, ces moyens de 
comparaison 22 sont constitues par une logique cablee. 

Quoiqu'il en soit, ces moyens de comparaison 22 sont adaptes a envoyer 
un premier signal a une unite 26 de declenchement d'une interruption, lorsque le 
code de declenchement Code-DD est compare egal a la valeur courante du 
code de reference Code-UMCA. Ceci sera decrit ulterieurement en reference a 
la figure 4a. 

Sur reception de ce premier signal, les moyens 26 de declenchement 
d'une interruption generent un signal d'interruption. Ce signal d'interruption est 
dans Texemple decrit icj un signal d'interruption non masquable NMI1. 

Sur reception de ce signal d'interruption non masquable NMI1, le 
processeur execute, grace a la table de vecteur d'interruption VECT, la routine 
d'interruption de controle IRT1. 

Cette routine d'interruption de controle IRT1 met en oeuvre une fonction 
informatique Gen-Code adaptee a calculer une nouvelle valeur du code 
d'autorisation d'acces Code-AA selon une loi predeterminee, a memoriser cette 
nouvelle valeur dans la memoire protegee, et a ecrire cette nouvelle valeur 
Code-AA dans le registre 21 de l'unite materielle de controle d'acces 20. 

Cette loi predeterminee est identique a celle mise en oeuvre par les 
moyens 24 de generation de la valeur de reference Code-UMCA. Ainsi, dans le 
mode de realisation prefere decrit ici, cette loi est une loi decrementation et le 
code d'autorisation d'acces Code-AA est egal a la valeur du code de 
declenchement Code-DD plus un. 
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Lorsque les moyens 21 d'obtention du code d'autorisation d'acces Code- 
AA regoivent ce code d'autorisation Code-AA en provenance de la routine 
d'interruption IRT1 de controle, les moyens 24 de generation d'une valeur de 
reference Code-UMCA generent une nouvelle valeur de reference selon la loi 
predeterminee decrementation. 

Ces deux nouvelles valeurs sont alors cornparees par les moyens 22 de 
comparaison decrits precedemment. 

Conformement a ['invention, les moyens 22 de comparaison sont adaptes 
a. positionner une valeur representative du resultat de la comparaison de ces 
deux nouvelles valeurs dans une bascule 23 de Punite materielle de controle 
d'acces 20. 

Dans I'exemple de realisation decrit ici, nous supposerons que la logique 
cablee 22 positionne la valeur 1 dans la bascule 23 lorsque Ie nouveau code 
d'autorisation d'acces Code-AA et la nouvelle valeur de reference predeterminee 
Code-UMCA sont egaux. 

Ainsi, dans ce mode prefere de realisation decrit ici, le contenu de la 
bascule 23 est positionne a 1 lorsque les codes de declenchement Code-DD et 
d'autorisation Code-AA regus successivement en provenance du pilote PROG et 
de la routine d'interruption de controle IRT1 sont egaux aux deux valeurs de 
reference code-UMCA predetermines generees par les moyens 24 sur 
reception des codes. 

Conformement a ce mode prefere de realisation, lorsque la bascule 23 est 
positionnee a 1, celle-ci genere un signal electrique de validation SIG-VAL a 
destination de moyens de combinaison logique 25 de Punite materielle de 
controle d'acces 20. 

Ainsi dans ce mode prefere de realisation, Ie signal de validation SIG-VAL 
est genere, lorsque les deux conditions precitees sont reunies. 

Avant de transmettre le code de declenchement Code-DD a Punite 
materielle de controle d'acces 20, le pilote PROG genere une nouvelle valeur 
selon la loi predeterminee, c'est-a-dire dans le mode decrit ici, Pincremente, et 
memorise cette nouvelle valeur dans la memoire volatile RAM protegee. 

Le pilote du peripherique P execute ensuite une instruction d'acces au 
peripherique P. 
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De fagon connue de Phomme du metier, cette instruction genere, en sortie 
d'un decodeur d'adresse 27, un signal electrique d'acces, de type Chip-Select 
CS a destination du peripherique P. 

Conformement a la presente invention, ce signal d'acces n'est pas 
directement transmis au peripherique P, mais vient en entree des moyens de 
combinaison logique 25 precites. 

Dans la suite de ce document, ce signal sera denomme signal electrique 
de demande d'acces CS-RQ. 

Les moyens de combinaison logique 25 qui regoivent en entree d'une part 
le signal electrique CS-RQ de demande d'acces au peripherique P et, d'autre 
part, le signal de validation SIG-VAL comportent egalement une table de verite 
adaptee, de fagon connue, a generer un signal d'acces de type « chip select » 
CS, a destination du peripherique P. 

Cette table de verite 25 permet en d'autres termes la validation du signal 
electrique d'acces au peripherique P, au sens de la presente invention. 

Dans le mode prefere de realisation decrit ici, le signal d'acces CS en 
sortie des moyens 25 de combinaison logique est fourni en entree de la bascule 
23. 

Dans ce mode de realisation, lorsqu'un acces au peripherique P est 
realise, c'est.-a-dire l.orsque I'etat du signal d'acces CS est haut, la valeur de la 
bascule 23 est remise a 0. 

Ceci a pour effet d'inhiber le signal de validation SIG-VAL en sortie de 
cette meme bascule 23 et done d'invalider tout acces au peripherique P. 

Dans un autre mode de realisation, le signal de validation SIG-VAL est 
inhibe non pas a chaque acces au peripherique P, mais de fagon cyclique, par 
exemple tous les cinq acces. 

Dans un autre mode de realisation prefere, le signal d'acces CS n'est pas 
reboucle sur la bascule 23, celle-ci etant adaptee a inhiber automatiquement le 
signal de validation SIG-VAL apres un delai predetermine compte a partir de la 
generation de ce meme signal, ou a partir de I'obtention du code de 
declenchement Code-DD. 

Dans le mode prefere de realisation decrit ici, les moyens de comparaison 
22 sont adaptes a envoyer un deuxieme signal a I'unite 26 de declenchement 
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d'une interruption lorsqu'elle detecte, par comparaison, qu'un code obtenu dans 
le registre 21 est different de la valeur de reference predeterminee Code-UMCA 
generee sur reception de ce code. 

Sur reception de ce deuxieme signal, les moyens 26 de declenchement 
d'une interruption envoient un deuxieme signal d'interruption a la memoire 
d'amorgage 120. Dans le mode decrit ici, il s'agit d'un signal d'interruption non 
masquable NMI2. 

Ainsi, si un programme hostile ecrit un code aleatoire dans le registre 21, 
les moyens de comparaison 22 declencheront une interruption non masquable 
NM12. 

Sur reception de ce deuxieme signal d'interruption, le processeur execute 
la routine d'interruption d'alarme IRT2 pour le traitement d'acces frauduleux au 
peripherique P. 

La figure 2 represente un autre processeur 210 conforme a la presente 
invention dans un autre mode de realisation. 

La seule difference entre ce processeur 210 et le processeur 110 decrit 
precedernment en reference a la figure 1, est que le processeur 210 est utilise 
pour controler Pacces a un peripherique P externe. 

Toutes les caracteristiques autres etant identiques, il ne sera pas decrit 
plus en avant ici. 

La figure! 3 represente une unite materielle de controle d'acces 20, sous 
forme d'un composant externe a un processeur 10. 

Dans ce mode de realisation de ('invention, le processeur 10 cooperant 
avec I'unite materielle de controle d'acces 20, comporte une memoire 
d'amorgage 120 identique a celle decrite precedernment en reference au 
processeur 1 10 de la figure 1 . 

L' unite materielle de controle d'acces 20 de cette figure est identique a 
celle decrite precedernment en reference a la figure 1 et ne sera pas detaillee 
ci-apres. 

La figure 4a represente sous forme d'automate a etats finis les 
principales etapes d'un procede de controle d'acces conforme a I'invention dans 
un mode prefere de realisation. 



WO 2005/101160 



17 



PCT/FR2005/000648 



Sur cette figure, les « bulles » represented des etats, les f leches des 
transitions, et les rectangles des conditions necessaires et suffisantes a la 
realisation des transitions. 

Dans la suite de la description, on emploiera indifferemment les 
terminologies « etape » ou « etat » connues de rhomme du metier des 
programmes informatiques. 

Get automate comporte un premier etat E10 d'initialisation, duquel on sort 
(transition E15) lorsque la valeur de reference predeterminee Code-UMCA est 
initialisee avec une valeur initiale, par exemple zero, puis memorisee dans la 
memoire volatile RAMI. 

On entre alors dans un etat d'attente E20. 

Lorsque dans oet etat d'attente E20 I'unite materielle de controle d'acces 
regoit un code de declenchement Code-DD (transition E25), on entre dans un 
etat E30 de comparaison de ce code de declenchement Code-DD avec la valeur 
de reference predeterminee Code-UMCA. 

En revanche, lorsque dans cet etat d'attente E20, on detecte un signal 
electrique de demande d'acces CS-RQ au peripherique P (transition E22), on 
entre dans un etat E100 de declenchement d'une interruption non masquable 
d'alarme NMI2. 

. On quitte automatiquement cet etat E100 de declenchement d'une 
interruption non masquable d'alarme NMI2, pour eritrefr dans' un etat E110 de 
gestion d'alarme. 

Dans un mode de realisation prefere, I'etat E110 de gestion d'alarme 
entrame I'execution d'un code terminal, (generation d'une condition de RESET). 
Dans d'autres modes de realisations, diverses reactions sont envisageables en 
fonction de ('application. Ces modes de realisation ne sont pas Tobjet de ce 
brevet et ne seront pas detailles ici. 

Une fois cette procedure de gestion d'alarme terminee, on peut effacer 
I'alarme et revenir dans I'etat E20 d'attente decrit precedemment 

Lorsque depuis I'etat E30 de comparaison, on determine que le code de 
declenchement Code-DD est different de la valeur de reference predeterminee 
Code-UMCA (transition E85), on entre dans I'etat E100 de declenchement d'une 
interruption d'alarme non masquable NMI2 decrit precedemment. 
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En revanche, Iorsque depuis I'etat E30 de comparaison, on determine que 
la valeur du code de declenchement Code-DD est egale a la valeur de reference 
predeterminee Code-UMCA (transition E31), on entre dans un etat E32 de 
generation d'une nouvelle valeur de reference predeterminee Code-UMCA selon 
la loi decrementation predeterminee. 

Cet etat E32 do generation d'une nouvelle valeur de reference Code- 
UMCA, est suivi d'un etat E34 de declenchement d'une interruption non 
masquable de controle NMI1 . 

Une fois cette interruption non masquable de controle NMI1 declenchee, 
on entre dans un etat E36 d'attente d'un code d'autorisation d'acces Code-AA. 

Si dans cet etat E36 d'attente d'un code d'autorisation d'acces code AA 5 
on detecte un signal electrique de demande d'acces CS-RQ (transition E90) , on 
entre dans I'etat E10O de declenchement d'une interruption d'alarme non 
masquable NMI2. 

En revanche, Iorsque dans I'etat E36 d'attente, on obtient un code 
d'autorisation d'acces Code-AA (transition E37) , on entre dans un etat E38 de 
comparaison de ce code d'autorisation d'acces Code-AA avec une nouvelle 
valeur de reference coil rante Code-UMCA. 

Si au cours de cette etat E38 de comparaison on determine que le code 
d'autorisation d'acces Code-AA est different de la valeur de reference Code- 
UMCA (transition E95), on entre dans I'etat E100 de declenchement d'une 
interruption non masquable d'alarme NMI2. 

En revanche, si ces deux valeurs sont egales (transition E39), on sort de 
I'etat E38 de comparaison pour entrer dans un etat E40 de generation d'une 
nouvelle valeur de reference Code-UMCA. 

On sort automatiquement de cet etat E40 de generation pour entrer dans 
un etat E50 de generation d'un signal electrique de validation SIG-VAL du signal 
d'acces au peripherique P. 

Ensuite, et automatiquement, on quitte cet etat E50 de generation du 
signal electrique de validation SIG-VAL pour entrer dans un etat E60 dans lequel 
on attend que I'acces au peripherique P ait effectivement lieu. 
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Lorsque dans cet etat EE60 d'attente on detecte que I'acces 3 
effectivement eu lieu (transition EQ5), on entre dans un etat E70 dans lequel on 
inhibe Ie signal de validation SIG-VAL. 

On sort ensuite automatiquement de cet etat E70 d'inhibition pour 
retourner a I'etat d'attente E20 decrit precedemment. 

Dans un autre mode de realisation, lorsque dans I'etat E60 d'attente on 
detecte Pobtention d'un code dans le registre 21 (transition E67), on entre dans 
I'etat E100 de declenchement d'une interruption non masquable d'alarme NMI2, 
ce code d'autorisation d'acces ayant necessairement ete envoye a I'unite 
materielle de controle d'acces par un tiers mai intentionne. Ce mode de 
realisation permet de renforcer la securite du systeme en detectant des acces 
frauduleux au peripherique apres la validation de I'acces (etat E60). 

La figure 4b represente un diagramme d'etat d'un procede de controle 
d'acces conforme a ('invention dans un deuxieme mode de realisation. 

Ce mode de realisation de I'invention est simplifie dans le sens ou il ne 
comporte pas d'etape E25 de reception d'un code de declenchement Code-DD. 
Bien entendu toute etape (E30, E31, E32, E85) de traitement de ce code de 
declenchement Code-DD est supprimee. 

L'etape E25 est remplacee par une etape E26 de declenchement, celui-ci 
pouvant se realiser par tout moyen connu de I'homme du metier susceptible de 
generer une interruption. 

L'etape E26 de declenchement est suivie automatiquement par l'etape 
E34 de generation d'une interruption non masquable NMI1 de controle decrite en 
reference a la figure 4a. 

Dans ce mode de realisation, le code d'autorisation Code-AA etant une 
constante, l'etape E40 de generation d'une valeur de reference Code-UMCA est 
supprimee. 

La routine d'interruption de controle IRT1 presente dans le registre 21 la 
valeur memorisee par le programme informatique PROG dans la memoire 
protegee. 

La figure 5 represente les principales etapes E500 a E520 d'une routine 
d'interruption non masquable de controle IRT1 mise en oeuvre par un processeur 
conforme a I'invention dans un mode prefere de realisation. 
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Cette routine est activee lorsque Punite materielle de controle d'acces 20 
genere une interruption non rnasquable de controle NMI1. 

La routine IRT1 decrite ici comporte une premiere etape E500 au cours de 
laquelle on memorise dans une variable VA le contenu d'une variable Code-AA 
comportant le code d'autorisation d'acces du meme nom. 

Dans le mode de realisation decrit en reference a la figure 4a Petape E50O 
de lecture du code d'autorisation d'acces Code-AA est suivie par une etape 
E510 au cours de laquelle on genere un nouveau code d'autorisation d'acces 
Code-AA selon la loi predeterminee decrite precedemment. Au cours de cette 
meme etape, on memorise cette nouvelle valeur du code d'autorisation d'acces 
Code-AA dans la memoire protegee. 

L'etape E510 de generation et de memorisation du nouveau code 
d'autorisation d'acces Code-AA est suivie par une etape E520 d'envoi du 
contenu de la variable VA a P unite materielle de controle d'acces 20. 

Dans le mode de realisation prefere decrit ici, cette etape d'envoi consiste 
a ecrire le contenu de la variable VA dans le registre 21 . 

Dans le mode de realisation decrit en reference a la figure 4b, l'etape 
E500 de lecture du code d'autorisation d'acces Code-AA est suivie par cette 
etape E520. 

Quoi qu'il en soit, Petape E520 d'envoi du code d'autorisation d'acces est 
suivie par une instruction de type IRET connue de Phomme du metier, qui 
consiste d'une part a efface r la source de ('interruption NMI1 et a revenir de 
ladite interruption. 

Le procede de gestion d'acces conforme a ['invention comporte, de fagoni 
optionnelle, une routine d' interruption d'alarme IRT2 en reponse a une 
interruption non rnasquable MMI2 en provenance de Punite materielle de controle 
d'acces 20. 

Cette interruption non rnasquable d'alarme consiste essentiellement a 
generer une alerte et/ou a traiter I'acces non autorise selon des regies 
adequates. 

La figure 6 represente les principales etapes E600 a E630 d'un 
programme informatique PROG comportant des instructions d'acces a un 
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peripherique P securise conformement a I'invention, dans le mode de realisation 
de la figure 4a. 

Ce programme informatique cornporte deux etapes E600 et E610 
identiques ou similaires respectivement aux etapes E500 de lecture du code 
d'autorisation d'acces, et E510 de generation et de memorisation d'un code 
d'autorisation d'acces decrit precedemment en reference a la figure 5. 

Ainsi, au cours de ces deux etapes, le programme informatique P 
memorise dans une variable VA le conten u du code de declenchement Code-DD 
courant, genere selon la loi predetermines (loi decrementation) un nouveau de 
declenchement Code-DD, et memorise oette nouvelle valeur dans la memoire 
securisee partagee avec la routine d'interruption IRT1. 

Prealablement a chaque etape E630 d'acces au peripherique P, le 
programme informatique PROG comports une etape E620 au cours de laquelle 
on envoie le contenu de la variable VA a I'unite de controle materiel d'acces 20, 
ce qui revient, dans le mode de realisation decrit ici, a ecrire le contenu de cette 
variable dans le registre 21. 

Cette etape E620 d'envoi du code d'autorisation d'acces VA a I'unite de 
controle materiel d'acces 20 est suivie par I'etape E630 d'acces au peripherique 
P. 

Dans une mise en oeuvre de I'invention selon le mode de realisation de la 
figure 4b, le programme informatique PROG cornporte une etape E610' de 
memorisation d'une valeur constante dans la memoire protegee du processeur, 
puis une etape E620' de declenchement de la premiere interruption de controle 
non masquable IRT1 , prealablement a I'etape E630 d'acces au peripherique. 

Apres Faeces, une valeur quelconcjue differente de ladite constante est 
memorisee dans la memoire protegee du processeur. 

Cette etape peut egalement etre realisee par la routine d'interruption de 
controle IRT1 . 
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REVINDICATIONS 

1 - Unite materielle pour controler Tacces (20), par un processeur (10, 
110, 120) a un peripherique (P) de ce processeur, ladite unite materielle (20) 
comportant : 

- des moyens (26) de declenchement d'une interruption dudit processeur, 
dite interruption de controle ; 

- des moyens (21) d'obtention, en provenance dudit processeur et 
consecutivement audit declenchement, d'un code d'autorisation d'acces (Code- 
AA) audit peripherique (P) ; 

- des moyens (22) de comparaison dudit code d'autorisation d'acces 
(Code-AA) avec une valeur de reference predeterrninee (Code-UMGA) ; et 

- des moyens dits de validation (22, 23, 25) adaptes a generer un signal 
electrique de validation (SIG_VAL) d'un signal electrique d'acces (CS, WE, 
PWR) audit peripherique (P), en fonction du resultat de ladite comparaison. 

2 - Unite materielle de controle d'acces selon la revendication 1, 
caracterisee en ce que ladite interruption de controle est une interruption non 
masquable (NMI1). 

3 - Unite materielle de controle selon la revendication 1 ou 2, caracterisee 
en ce qu'elle comporte en outre des moyens (21) d'obtention d'un code de 
declenchement (Code-DD), et en ce que lesdits moyens (26) de declenchement 
de ladite interruption de controle (NMI1) sont adaptes a declencher ladite 
interruption consecutivement a I'obtention dudit code de declenchement (Code- 
DD). 

4 - Unite materielle de controle <J'acces selon la revendication 3, 
caracterisee en ce qu'elle comporte en outre des moyens (22) de comparaison 
dudit code de declenchement (Code-DD) avec ladite valeur de reference 
predeterminee (Code-UMCA), et en ce que lesdits moyens (26) de 
declenchement, sont adaptes a declencher ladite interruption de controle (NMI1) 
en fonction du resultat de ladite comparaison . 

5 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 4, caracterisee en ce quelle comporte des moyens (26) de 
declenchement d'une interruption dudit processeur, dite interruption d'alarme, 
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lorsque ledit code d'autorisation d'acoes (Code-AA) ou ledit code de 
declenchement (Code-DD) est different de la valeur de reference predeterminee 
(Code-UMCA). 

6 - Unite materielle de controle d'acces selon la revendication 5, 
caracterisee en ce que ladite interruption d'aiarme est une interruption non 
rnasquable (NMI2). 

7 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 6, caracterisee en ce que ladite valeur de reference 
predeterminee (Code-UMCA) est une const ante. 

8 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 6, caracterisee en ce qu'elle comporte des moyens (24) de 
generation de ladite valeur de reference (Code-UMCA) selon une loi 
predeterminee. 

9 - Unite materielle de controle d'acces selon la revendication 8, 
caracterisee en ce que ladite valeur de reference predeterminee (Code-UMCA) 
est un compteur initialise a la mise sous tension de ladite unite materielle 
(UMCA), et en ce que, selon ladite loi predeterminee, on incremente ledit 
compteur a chaque obtention dudit code d'autorisation d'acces (Code-AA). 

10 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 9, caracterisee en ce que lesdits moyens de validation (22, 
23, 25) comportent des moyens de combinaison logique (25) adaptes a : 

- recevoir un signal electrique de demande d'acces (CS-RQ, WE-RQ) 
audit peripherique (P) ; 

- recevoir ledit signal de validation (S IG_VAL) ; et 

- valider ledit signal electrique d'acces (CS, WE) en fonction d'un etat 
(RQ_0, RQ_1) dudit signal electrique de demande d'acces (CS-RQ, WE-RQ), 
d'un etat (VAL_0, VAL_1) dudit signal de validation, et d'une logique representee 
dans une table de verite (25). 

11 - Unite materielle de controle d'acces selon la revendication 10, 
caracterisee en ce qu'elle comporte des moyens (26) de lecture d'un etat (RQ_0, 
RQ_1) dudit signal electrique de demand© d'acces (CS_RQ, WE_RQ), et des 
moyens (26) de declenchement d'une interruption dudit processeur, dite 
interruption d'aiarme (NMI2), preferentiellement non rnasquable, en fonction de 
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cet etat (RQJD, RQ_1) et dudit etat (VAL_0, VAL_1) dudit signal electrique de 
validation d'acces (SIG_VAL). 

12 - Unite materielle de controle d'acces selon Tune quelconque des 
revendications 1 a 11, caracterisee en ce qu'ella eomporte des moyens 
d'inhibition (23) dudit signal de validation (SIG_VAL). 

13 - Unite materielle de controle d'acces selon la revendication 12, 
caracterise en ce que lesdits moyens d'inhibition (23) sont adaptes a inhiber ledit 
signal de validation (SIG„VAL) consecutivement a au moins un acces audit 
peripherique (P). 

14 - Unite materielle de controle d'acces selon la revendication 12 ou 13, 
caracterisee en ce que lesdits moyens d'inhibition (23) sont adaptes a inhiber 
ledit signal de validation (SIG_VAL) apres un delai predetermine compte a partir 
de la generation dudit signal electrique de validation d'acces (SIG_VAL), ou a 
partir de Pobtention dudit code d'acces (Code-AA). 

15 - Processeur (110) caracterise en ce qu'il eomporte : 

- une unite materielle de controle d'acces (20) selon Tune quelconque des 
revendications 1 a 14 ; 

- des moyens (VECT) de mise en oeuvre d'une routine d'interruption de 
controle (IRT1) adaptee a obtenir ledit code d'autorisation d'acces (Code-AA) ; et 

- des moyens (IRT1) d'envoi dudit code d'autorisation d'acces (Code-AA). 
a ladite unite materielle de controle d'acces (20). 

16 - Processeur selon la revendication 15, caracterise en ce que ladite 
routine d'interruption de controle eomporte des moyans de lecture dudit code 
d'acces (Code-AA) a partir d'une memoire protegee. 

17 - Processeur selon la revendication 15 ou 16, caracterisee en ce qu'il 
eomporte en outre des moyens d'envoi d'un code de declenchement (Code-DD) 
a ladite unite materielle de controle d'acces (20). 

18 - Processeur quelconque des revendications "15 a 17, caracterise en ce 
que ladite routine d'interruption de controle (IRT1) est adaptee a generer ledit 
code d'acces (Code-AA) selon une loi predeterminee. 

19 - Processeur selon la revendication 18, caracterise en ce que ledit 
code d'acces (Code-AA) est un compteur, en ce que ladite loi predeterminee 
consiste a initialiser ledit compteur (Code-AA) lors de la mise sous tension dudit 
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processeur (110), et a incrementer ledit compteur a chaque envoi dudit code 
(Code-AA) a ladite unite materielle (20). 

20 - Processeur selon Tune quelconque des revendications 15 a 19, 
caracterise en ce qu'il comporte en outre des moyens (VECT) de mise en oeuvre 
d'une routine d'interruption d'alarme (IRT2) adaptee a generer une alerte et/ou a 
inhiber I'utilisation dudit peripherique (P). 

21 - Processeur selon Tune quelconque des revendications 15 a 20, 
caracterise en ce qu'il comporte ledit peripherique (P), celui-ci pouvant 
notamment etre choisi parmi un controleur d'ecriture dans une memoire 
d'amorgage (120) dudit processeur, une unite de gestion de memoire (MMU). 

22 - Procede pour controler I'acces, par un processeur (10, 110, 120) a un 
peripherique (P) de ce processeur, caracterise en ce qu'il comporte les etapes 
suivantes : 

- declenchement (E34) d'une interruption dudit processeur, dite 
interruption de controle ; 

- obtention (E37), en provenance dudit processeur et consecutivement 
audit declenchement, d'un code d'autorisation d'acces (Code-AA) audit 
peripherique (P) ; 

- comparaison (E38) dudit code d'autorisation d'acces (Code-AA) avec 
une valeur de reference predeterminee (Code-UMCA) ; 

- generation (E50) d'un signal electrique de validation (SIGJVAL) d'un 
signal d'acces (CS, WE, PWR) audit peripherique <P), en fonction du resultat de 
ladite etape de comparaison (E30). 

23 - Procede de controle d'acces selon la revendication 22, caracterise 
en ce que ladite interruption de controle est une interruption non masquable 
(NMI1). 

24 - Procede de controle d'acces selon la revendication 22 ou 23, 
caracterise en ce que ladite etape de declenchement (E34) est effectuee 
consecutivement a une etape d'obtention (E25) d'un code de declenchement 
(Code-DD). 

25 - Procede de controle d'acces selon la revendication 24, caracterise 
en ce qu'il comporte en outre une etape (E30) de comparaison du code de 
declenchement (Code-DD) avec ladite valeur de reference predeterminee (Code- 
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UMCA), et en ce que ladite etape (E34) de declenchement est effectuee en 
fonction du resultat de ladite etape de comparaison (E30). 

26 - Procede de controle d'acces selon Tune quelconque des 
revendications 22 a 25, caracterise en ce qu'elle comporte une etape (E100), de 
declenchement d'une interruption dudit processeur, dite interruption d'alarme, 
lorsque ledit code d'autorisation d'acces (Code-AA) ou ledit code de 
declenchement (Code-DD) est different de la valeur de reference predeterminee 
(Code UMCA). 

27. Procede de controle d'acces selon la revendioation 26, caracterise 
en ce que ladite interruption d'alarme est une interruption non masquable 
(NMI2). 

28 - Procede de controle d'acces selon Tune quelconque des 
revendications 22 a 27, caracterise en ce que ladite valeur de reference 
predeterminee (Code-UMCA) est une constante. 

29 - Procede de controle d'acces selon Tune quelconque des 
revendications 22 a 27, caracterise en ce qu'il comporte en outre une etape 
(E40) de generation de ladite valeur de reference (Code-UMCA) selon une loi 
predeterminee. 

30 - Procede de controle d'acces selon la revendication 29, caracterise en 
ce que ladite valeur de reference predeterminee (Code-UMCA) etant un 
compteur, II comporte en outre une etape de d'initialisation (E10) dudit compteur, 
ledit compteur etant increments au cours de ladite etape (E4-0) de generation. 

31 - Procede de controle d'acces selon Tune quelconque des 
revendications 22 a 30, caracterise en ce que, au cours de ladite etape (E50) de 
generation du signal de validation : 

- on lit I'etat (RQ_0, RQ_1) d'un signal electrique (CS-RQ, WE-RQ) de 
demande d'acces audit peripherique (P) ; 

- on lit I'etat (VAL_0, VAL_1) dudit signal de validation (SIG^VAL) ; et 

- on valide ledit signal electrique d'acces (CS, WE) en fonction dudit etat 
(RQ_J) dudit signal electrique de demande d'acces (CS_RQ, WE_RQ), dudit 
etat (VAL_1) du signal de validation (SIG_VAL), et en fonction d'une regie 
logique. 
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32 - Procede de controle d'acces selon la revendication 31, caracterise en 
ce qu'il comporte une etape (E20, E36) de lecture d'un etat (RCLO, RQ_1) dudit 
signal electrique de demande d'acces (CS_RQ, WE_RQ), ©t une etape (E100) 
de declenchement d'une interruption masquable dudit processeur, dite 
interruption d'alarme, preferentiellement non masquable <NMI2), en fonction 
dudit etat (RQ_0, RQ_J) et dudit etat (VAL_0, VAL_1) dudit signal electrique de 
validation d'acces (SIG_VAL). 

33 - Procede de controle d'acces selon Tune quelconque des 
revendications 22 a 32 caracterise en ce qu'il comporto une etape (E70) 
d'inhibition dudit signal de validation (SIG_VAL). 

34 - Procede de controle d'acces selon la revendication 33, caracterise 
en ce que ladite etape (E70) d'inhibition est effectuee consecutivement a au 
moins une etape d'acces (E65) audit peripherique (P). 

35 - Procede de controle d'acces selon la revendication 33 ou 34, 
caracterise en ce que ladite etape d'inhibition est effectuee apres un delai 
predetermine compte a partir de ladite etape (E50) de generation du signal de 
validation (SIG_VAL) ou a partir de I'etape (E25) d'obtention dudit code de 
declenchement (Code-DD). 

36 - Procede de gestion d'acces a un peripherique (P), caracterise en ce 
qu'il comporte une etape de mise en ceuvre d'une routine (IRT1) associee a une 
interruption de controle, preferentiellement non masquable (IN1MI1), ladite routine 
de controle comportant une etape (E520) d'envoi d'un code d'autorisation 
d'acces (Code-AA) a une unite materielle de controle d'acces (20) conforme a 
Tune quelconque des revendications 1 a 14. 

37 - Procede de gestion d'acces a un peripherique (P) selon la 
revendication 36, caracterise en ce qu'il comporte une etape de lecture dudit 
code d'acces (Code-AA) a partir d'une memoire protegee en vue dudit envoi. 

38 - Procede de gestion d'acces a un peripherique (P) selon la 
revendication 36, caracterise en ce qu'il comporte une etape (E510) de 
generation, selon une loi predeterminee, d'un code d'autorisation d'acces (Code- 
AA) audit peripherique (P), en vue dudit envoi. 

39 - Procede de gestion d'acces selon la revendication 38, caracterise en 
ce que ledit code d'autorisation d'acces (Code-AA) etant un compteur, il 
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comporte en outre une etape d'initialisation dudit compteur (Code-AA), et en ce 
que ladite etape (E510) de generation consiste a incrementer ledit compteur 
(Code-AA) prealablement a chaque envoi (S100) de oe code (Code-AA) a ladite 
unite materielle (20). 

40 - Procede de gestion d'acces selon Tune quelconque des 
revendications 36 a 39, caracterise en ce qu'il comporte en outre une etape de 
mise en oeuvre d'une routine d'interruption d'alarnne (IRT2), ladite routine 
d'alarme comportant une etape de generation d'une 3lerte et/ou d'inhibition de 
('utilisation dudit peripherique. 

41 - Programme informatique comportant une instruction (E630) d'acces a 
un peripherique (P), caracterise en ce qu'il comporte une instruction (E620) 
d'envoi d'un code de declenchement (Code-DD) a une unite materielle de 
controle d'acces (20) dudit peripherique (P) conforms a Tune quelconque des 
revendications 1 a 14, prealablement a I'execution de Indite instruction d'acces. 

42 - Programme informatique selon la revendication 41 , caracterise en ce 
qu'il comporte en outre des moyens de generation dudit code de declenchement 
(Code-DD) selon ladite loi predeterminee. 

43 - Processeur adapte a mettre en ceuvre un procede de controle 
d'acces conforme a Tune quelconque des revendications 22 a 35 et/ou un 
procede de gestion d'acces conforme a Tune quelconcjue des revendications 36 
a 40 et/ou un programme informatique conforme a la revendication 41 ou 42. 

44 - Utilisation d'une unite materielle de controls d'acces (20) selon I'une 
quelconque des revendications 1 a 14, pour valider un signal d'acces a un 
peripherique (P) pouvant notamment etre choisi parmi un ecran, un clavier, une 
memoire, un controleur d'une interface de communication, une unite de gestion 
memoire (MMU) ou une unite de protection de memoirs (MPU). 
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